Flamer je pravděpodobně první škodlivý kód pro systém Windows, který zneužíval Bluetooth. Proč útočníci využili právě tuto funkci je ovšem stále záhadou. V důsledku analýzy společnosti Symantec se jeví pravděpodobná jedna z následujících tří variant:
Zmapovat sociální a profesní kontakty infikovaných uživatelů s použitím jiných zařízení s Bluetooth.
Identifikovat, kde se fyzicky nachází uživatelé s infikovanými přístroji, a určit jejich vzdálenost od důležitých cílů. Bez ohledu na to, jestli tyto klíčové cíle jsou lidé nebo počítačové systémy.
Připojit se k jiným přístrojům s Bluetooth a krást z nich informace, využít je k odposlouchávání nebo využívat jejich datové připojení k přenosu již ukradených dat.
Ačkoli přesné záměry přidání Bluetooth konektivity do kódu hrozby zatím není možné určit, tyto tři pravděpodobné scénáře využití představují hrozbu Flamer jako propracovaný a pokročilý nástroj špionáže.
Tým Symantec Security Response zároveň objevil nové techniky, které Flamer používal k šíření z počítače na počítač. Flamer se automaticky nešířil, pokud nedostal pokyny od útočníků. Většina metod používaných pro šíření je velmi přímočará, ale Smynatec zaznamenal i několik novinek:
Šíření prostřednictvím sítě sdílením zachycených přihlašovacích údajů, včetně domény správce
Šíření prostřednictvím zranitelnosti Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (CVE-2010-2729),
Šíření prostřednictvím přenosných médií – využit speciálně vytvořený soubor autorun.inf,
Šíření prostřednictvím přenosných médií s využitím speciálně vytvořeného adresáře, který obsahoval skryté soubory, výsledkem mohlo být automatické spuštění na prohlíženém USB disku a zneužití zranitelnosti Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (CVE-2010-2568)
Flamer je podle Symantecu velmi důmyslná hrozba a lze očekávat, že další analýzou budou odhaleny nové zajímavé triky a techniky.
ZDROJ: www.securityworld.cz